- بواسطة x32x01 ||
إيه هو تحليل البرامج الضارة (Malware Analysis)؟ 
تحليل البرامج الضارة هو عملية تفكيك وفهم عينة من برنامج خبيث (binary) علشان نستخرج أكبر قدر من المعلومات عنه: إيه وظيفته؟ إزاي وصل للجهاز؟ وإزاي نقدر نمنع هجمات مشابهة في المستقبل. المعلومات دي مهمة جدًا لعزل الهجوم، اكتشاف مؤشرات الإصابة، وتصميم دفاعات أفضل.أهداف تحليل الـ Malware 
- نعرف نوع الـmalware: هل هو Trojan، RAT، Worm، أو تروجان آخر؟
- نفهم إيه اللي بيعمله بالظبط في الجهاز (سرقة بيانات، تشفير، فتح باب خلفي، إلخ).
- نكتشف طريقته في الدخول للنظام علشان نمنعها بعد كده.
- نقيّم تأثيره على النظام والشبكة ونحدد مستوى الخطورة.
طرق التحليل: ثابت، ديناميكي، وهجين 
التحليل الساكن (Static Analysis) 
التحليل الساكن معناه نفحص الملف من غير ما نشغّله. بنطلع مؤشرات زي: هاش الملف (MD5, SHA1)، أسماء الملفات، عناوين IP، نوع التشفير، لغة البرمجة، وحاجات ممكن تتكشف من رؤوس الملفات أو من تفكيك الكود (disassembly).مميزات وعيوب التحليل الساكن
- مميزاته: آمن (مش محتاج تشغّل الكود)، بيكشف البنية الأساسية والاعتمادات.
- عيوبه: ممكن البرامج المعقدة تخفي سلوكها لوقت التشغيل—يعني الساكن لوحده مش كفاية مع بعض البرمجيات المتقدمة.
أهداف التحليل الساكن
- استخراج قيمة ال-hash (MD5, SHA1).
- فحص بماسحات الفيروسات لمعرفة لو كان معروف قبل كده.
- معرفة لغة البرمجة وأي أدوات تشفير استُخدمت.
- عمل هندسة عكسية والوصول لكود Assembly قابل للمتابعة.
التحليل الديناميكي (Dynamic Analysis) 
التحليل الديناميكي يعتمد على تشغيل العينة داخل بيئة معزولة (sandbox أو VM) ومراقبة سلوكها: ملفات اتنشأت، اتصالات شبكية، تغييرات في الريجستري، عمليات جديدة اتولدت، إلخ.مميزات وعيوب التحليل الديناميكي
- مميزاته: بيكشف سلوك وقت التشغيل وبيديك مؤشرات إصابة عملية بسرعة.
- عيوبه: بعض الـmalware بتعرف إنها في بيئة تحليل وتتصرف بشكل مخادع (anti-analysis)، وده بيخليها ماتعملش كل سلوكها قدام الـsandbox.
أهداف التحليل الديناميكي
- معرفة قدرات الـmalware وتأثيره الفعلي.
- الحصول على مؤشرات للاكتشاف (IOCs) زي ملفات، أسماء عمليات، عناوين IP، ومؤشرات التهيئة.
التحليل الهجين (Hybrid Analysis) 
التحليل الهجين بيجمع بين الساكن والديناميكي: بنشغّل العينة ونلتقط تفريغ الذاكرة (memory dump)، وبعدين نطبّق تحليل ساكن على البيانات المولدة وقت التشغيل. النهج ده بيقلل blind spots وبيدي صورة أوضح عن السلوك الخبيث.تقنيات شائعة يستعملها الـ Malware 
حقن DLL الكلاسيكي (DLL Injection)
البرمجية الخبيثة بتكتب مسار DLL ضار في مساحة عنوان عملية تانية، وبعد كده بتخلق thread بعيد علشان العملية الثانية تحمل الـDLL وتنفّذ الكود الضار داخلها.حقن العمليات (Process Injection)
تقنية لاستغلال عمليات شغالة علشان ترفع صلاحيات أو تتجاوز مضادات الفيروسات عن طريق الإرفاق بعملية موجودة وحجز مكان في الذاكرة.تفريغ العملية (Process Hollowing)
الـmalware بينشئ عملية جديدة شرعية، بعدين يستبدل كودها بكود ضار. الفكرة إنها تخفي وجودها داخل عملية نظامية وبتتفادى الفحص اليدوي أو الإغلاق السريع.خطوات عملية لتحليل عينة Malware 
- جهّز بيئة معزولة (VM أو sandbox) مفصولة عن الشبكة الإنتاجية.
- خُد صورة (Snapshot) قبل أي تجربة علشان تقدر ترجّع الحالة.
- اعمل تحليل ساكن أول: احسب ال-hash، افحص رؤوس الملف، استخرج strings، وشغّل disassembler لو احتجت.
- شغّل العينة في بيئة مراقبة وسجل نشاط الشبكة/النظام.
- خلّط النتائج: استخدم تفريغ الذاكرة وتحليله مع الأساليب الثابتة لاستخراج أدلة إضافية.
- استخرج IOCs وشاركها مع الأنظمة (IDS/IPS, SIEM) للحماية واكتشاف أي إصابات مماثلة.
نصايح عملية للمحللين والمختصين 
- دايمًا حدِّث أدوات التحليل (disassemblers، sandboxes، مقاييس الشبكة).
- حط خطة لإدارة الحوادث (IR) واضح، وضمّن فيها خطوات التحليل والتبليغ.
- شارك مؤشرات الإصابة (IOCs) مع المجتمع الأمني والحفاظ على قواعد بيانات مُحدّثة.
- كن واعي لأساليب التمويه (packing, obfuscation, anti-analysis) واعرف تفكها.
الخلاصة 
تحليل البرامج الضارة علم وفن مع بعض - محتاج أدوات قوية، بيئة آمنة، ومعرفة بالسلوك الطبيعي للأنظمة. الجمع بين التحليل الساكن والديناميكي (الهجين) هو أفضل طريقة عشان تفهم الـmalware بعمق وتقدر تحمي الأنظمة بشكل فعّال. التعديل الأخير: